Umělá inteligence jako obrana: AI ve službách bezpečnosti

V předchozích článcích jsme řešili, jak mohou útočníci využívat AI na phishing, deepfaky, OSINT a hledání zranitelností. Byla by ale chyba vidět umělou inteligenci jen jako hrozbu.

AI kybernetická obrana je stejně důležité téma jako AI útoky. V rukou obránců může výrazně zlepšit kybernetickou bezpečnost: pomáhá odhalovat podezřelé zprávy, analyzovat velké množství dat, zrychlovat reakci na incidenty a snižovat zátěž bezpečnostních týmů.

Související kontext najdete v článcích AI jako útočník a AI hledání zranitelností.

K tématu sociálního inženýrství patří i praktické návody na AI phishing, deepfake podvody a vishing a AI a OSINT.

Proč bezpečnostní týmy potřebují pomoc

Moderní firma produkuje obrovské množství digitálních signálů: e-maily, přihlášení, cloudové události, síťovou komunikaci, aplikace, koncová zařízení, přístupy uživatelů a upozornění z bezpečnostních nástrojů.

Člověk nedokáže všechno ručně kontrolovat. Právě tady pomáhá AI v kyberbezpečnosti: umí hledat vzory, odchylky a souvislosti, které by se v množství dat ztratily.

AI při detekci phishingu

Moderní phishingový filtr už nesleduje jen známé škodlivé odkazy. Umí analyzovat jazyk zprávy, reputaci odesílatele, podobnost domény, typ přílohy, chování odkazu a další signály.

AI detekce phishingu může odhalit zprávu, která neobsahuje známý virus, ale její styl je podezřelý: vytváří časový tlak, žádá přihlašovací údaje, používá neobvyklý odkaz nebo se tváří jako interní komunikace.

AI při bezpečnostním monitoringu

Bezpečnostní monitoring sleduje, co se děje v systémech. AI může pomoci poznat neobvyklé chování a podpořit detekci hrozeb.

  • uživatel se přihlásí ze země, odkud se nikdy nepřihlašoval,
  • účet začne stahovat nezvykle mnoho dat,
  • zařízení komunikuje s podezřelou doménou,
  • v noci probíhá mnoho neúspěšných přihlášení,
  • administrátorský účet dělá nezvyklé změny.

Jedna událost sama o sobě nemusí znamenat incident. AI ale může spojit více signálů. V praxi se často propojuje se systémy jako SIEM, EDR nebo cloudové bezpečnostní nástroje.

Human-in-the-loop: AI navrhuje, člověk kontroluje a bezpečnostní akce následuje po lidském dohledu

AI při reakci na incidenty

Když se stane incident, čas je kritický. Bezpečnostní tým potřebuje rychle pochopit, co se stalo, koho se to týká, jaké systémy jsou zasažené a co je potřeba udělat.

AI může pomoci sumarizovat události, navrhnout možné kroky, seřadit priority a připravit přehled pro lidi, kteří rozhodují. V oblasti incident response šetří čas při procházení logů a alertů.

AI při hledání zranitelností

AI může pomáhat také vývojářům. Umí kontrolovat kód, upozornit na riziková místa, navrhnout bezpečnější řešení a vysvětlit problém jednodušším jazykem.

AI ale nesmí být výmluva pro slabý proces. Stále je potřeba code review, testování, bezpečnostní pravidla a jasná odpovědnost.

AI při školení zaměstnanců

Dobré školení kybernetické bezpečnosti nemá být nudná prezentace jednou ročně. AI může pomoci vytvářet realistické, ale bezpečné tréninkové scénáře podle rolí: jiné příklady pro finance, jiné pro obchod, jiné pro HR.

Kde jsou limity AI

AI není neomylná. Může přehlédnout kontext, vyhodnotit normální věc jako incident nebo naopak podcenit riziko.

  • slepá důvěra v doporučení,
  • slabé nastavení nástrojů,
  • nedostatek lidského dohledu,
  • únik citlivých dat do nevhodných AI nástrojů,
  • falešné poplachy,
  • nejasná odpovědnost.

Pravidlo je jednoduché: AI navrhuje a pomáhá, člověk rozhoduje.

Co by měla firma zavést

1. Určete, jaká data mohou jít do AI nástrojů.

Citlivé informace nepatří do náhodných veřejných nástrojů.

2. Nastavte pravidla používání AI.

Zaměstnanci mají vědět, co je povolené a co ne.

3. Používejte AI tam, kde snižuje riziko.

Například phishingové filtry, monitoring, sumarizace incidentů, kontrola kódu a SOC automatizace.

4. Zachovejte lidský dohled.

Hlavně u incidentů, blokování účtů a rozhodnutí s dopadem na byznys.

5. Měřte výsledky.

Sledujte, jestli AI skutečně snižuje počet incidentů nebo jen produkuje více upozornění.

6. Kombinujte AI s klasickými opatřeními.

MFA, zálohy, aktualizace, minimální oprávnění a zero trust zůstávají základ.

AI nenahradí bezpečnostní kulturu

Můžete mít výborné nástroje, ale pokud lidé neumí nahlásit podezřelý e-mail, platby se schvalují chaoticky a účty nemají vícefaktorové ověření, AI vás nezachrání.

AI není autopilot bez řidiče

Bezpečnost potřebuje kontext. Proto je důležitý princip human-in-the-loop. AI navrhne, upozorní, seřadí nebo vysvětlí. Člověk potvrdí, zamítne nebo doplní kontext.

Závěr

Umělá inteligence bude hrát v obraně stále větší roli. Pomůže filtrovat phishing, odhalovat anomálie, analyzovat incidenty, hledat zranitelnosti a vzdělávat lidi.

Není to ale magický štít. Je to zesilovač. Pokud máte dobré bezpečnostní procesy, AI je může zrychlit a zlepšit. Pokud máte chaos, AI může chaos jen zrychlit.

Související články

Používejte AI rozumně - otestujte připravenost své kybernetické obrany.

Rezervovat